GitHub 部分仓库遭遇黑客攻击 (2019年5月)

2019年5月3日^[1]，GitHub 上多个仓库的代码和提交记录被黑客删除并被替换成一个名为 “warning” 的文件，文件中的内容为：

To recover your lost code and avoid leaking it: Send us 0.1 Bitcoin (BTC) to our Bitcoin address 1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA and contact us by Email at admin@gitsbackup.com with your Git login and a Proof of Payment. If you are unsure if we have your data, contact us and we will send you a proof. Your code is downloaded and backed up on our servers. If we dont receive your payment in the next 10 Days, we will make your code public or use them otherwise
GitHub.com

中文参考译文如下：

为了恢复你丢失的代码并且不想这些代码被泄露：向我们的比特币地址 “1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA” 发送 0.1 个比特币，之后把你的 Git 仓库登陆凭证和付款证明发送到 “admin@gitsbackup.com” 这个电子邮箱。如果你不确定我们是否有你的数据，你可以联系我们，我们会给你发送一个证明。你的代码已经被下载并备份在我们的服务器上。如果我们在接下来的 10 天内没有收到你的付款，我们会公开你的代码并把它们用在其他地方。

在 GitHub 中搜索 “admin@gitsbackup.com” 获得的搜索结果^[2], 如图 1

除了 GitHub 之外，GitLab 和 Bitbucket 上的部分仓库也遭遇了可以认为与此一致的攻击。

通过对”gitsbackup.com”这个域名的 whois 查询可以获知，该域名创建于 2019 年 5 月 2 日，注册商是 “NameCheap, Inc.”, 如图 2：

虽然黑客说可以向 “admin@gitsbackup.com” 这个邮箱地址发邮件，但是我通过 DIG 命令查找发现，无法获知 “gitsbackup.com” 这个域名的 MX 记录和 A 记录：

[root@***]# dig gitsbackup.com MX

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6 <<>> gitsbackup.com MX
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 21987
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;gitsbackup.com.                        IN      MX

;; AUTHORITY SECTION:
com.                    899     IN      SOA     a.gtld-servers.net. nstld.verisign-grs.com. 1557146567 1800 900 604800 86400

;; Query time: 35 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Mon May  6 08:40:18 2019
;; MSG SIZE  rcvd: 105

[root@***]# dig gitsbackup.com A

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6 <<>> gitsbackup.com A
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 18787
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;gitsbackup.com.                        IN      A

;; AUTHORITY SECTION:
com.                    63      IN      SOA     a.gtld-servers.net. nstld.verisign-grs.com. 1557145722 1800 900 604800 86400

;; Query time: 25 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Mon May  6 08:40:24 2019
;; MSG SIZE  rcvd: 105

[root@***]#

截至到 (UTC+08:00) 时区 2019 年 5 月 6 日 20 时 58 分，在 “www.blockchain.com” 这个网站上查询 “1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA” 这个比特币钱包的交易记录发现，应该还没有人向该钱包地址支付 0.1 个比特币，如图 3：
（查看地址：https://www.blockchain.com/btc/address/1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA）

注：
[1]该时间为 GitHub 上记录的黑客 push “warning” 文件的时间, 如图 4：

[2]该搜索结果不代表被黑的仓库总数。

相关文章：